VPN(虚拟专用网络)用 VPN 提供商管理的 IP 地址取代您自己的 IP 地址。设备看起来就像是从不同的地理位置连接到了互联网。使用与实际 IP 地址不同的 IP 地址有助于隐藏在线活动。
什么是 IP 地址?它是如何使用的?
现在我们来看看 IP 数据包是如何寻址的,以及数据包如何找到目标。为此,我们将使用一系列类比,最终会回到邮政服务的类比。
我们要回答的问题是:数据包是怎样找到目标的?
互联网由数以百万计的路由器和输送通道组成,它们将数十亿台主机彼此互连。主机就是一个通过互联网进行通信的端点。主机包括服务器、笔记本电脑、智能手机和其他设备。当一台主机需要向另一台主机发送数据包时,该数据包必须经由一条路径,通过互联网(具体来说是通过构成互联网的一系列路由器和输送通道)进行传输。输送通道是连接路由器和主机的物理链路。
路由器将多条输送通道连接起来,负责制定路由选择决策。也就是说,在数据包从一条链路传入之后,路由器必须决定要通过哪条链路将其发送出去。这项任务由路由器路由表完成。下面我们通过几个类比来帮您理解路由表。
对于第一个类比,我们将互联网看作由街道组成的网络。此时,数据包从主机 A 传输到主机 B 时,就好比驾车从城市 A 开到城市 B。路由器则像是多条街道相交处的十字路口。在驾车过程中,到达一个十字路口时,我们必须确定转弯方向,也就是要转入哪条街道。路由表就像我们希望在十字路口看到的路标。
但这个类比到这里就没法继续下去了,因为路标不可能列出我们可能要去的所有城市。同样,路由表也不可能列出数据包有可能要传输到的所有主机。换句话说,数据包的目标地址不能是类似“Apple Web 服务器”这样的地址。
但一个可行的类比是酒店楼层中的房间。在这种情况下,从主机 A 到主机 B 的数据包可以比喻成从房间 A 走到房间 B。那么,路由器就像是多条走廊的交叉点,而路由表就像是这个交叉点的指示牌,上面写着右侧是 201-220 房间,左侧是 221-240 房间。这样我就能判断,如果要去 211 室,我就应该右转。
这种方法为什么可行?首先,一个范围内的所有房间号都在同一个地方。所以我们不需要指定前往每个房间的路线,只需要指明每个范围的方向即可。此外有一点非常重要,指示牌上的范围涵盖了所有可能的房间号。所有房间的房间号都不超出 201-240 这个范围。
在互联网上,我们可以采取同样的方案。所以,我们在主机寻址中不使用名称,而是使用编号。
这些编号称为 IP 地址,是(32 位的二进制)数字的形式。它们通常采用点号表示法,例如 73.227.130.85。点之间的数字称为 8 位组(因为它们在转成二进制后长度都是 8 位)。主机位于连续的 IP 地址范围内。例如,地址以 128.30.*.* 和 128.31.*.* 开头的所有主机都位于麻省理工学院 (MIT)。路由器只需要指明每个范围的方向即可。这些范围称为前缀或 CIDR,即无类别域间路由。
现在,我们再回到邮政服务的类比。从主机 A 到主机 B 的数据包可以比喻成从房屋 A 邮寄到房屋 B 的一封信。信件由卡车运来,然后必须经过分拣才能由其他卡车运出,路由表在此时就像信件的分拣规则。我们具体看一下信件的地址确定和分拣方式。
继续用这个类比,一个发往 128.30.27.149 的数据包就好比一封邮寄给 Lucille Ball 的信,地址是“加州贝弗利山罗克斯伯里大道 1000 号 Lucille Ball,邮编 90210”。要传送这封信,大多数邮局都不必关注整个地址。事实上,需要关注街道地址的只有 90210 邮编对应的邮局。其他所有邮局要关注的只有邮编。也就是说,仅凭邮编,信件就可以从发件人一直寄到 90210 邮编对应的邮局。
对于 IP 地址,我们的处理方式也是完全相同的。每个地址可以分成左侧和右侧两大部分。左侧称为前缀,类似于邮编。刚才我们提到过,所有前缀为 128.30 的 IP 地址都属于 MIT。因此,只有 MIT 网络中的路由器才需要关注整个 IP 地址。互联网上的其他所有路由器都只需要关注前缀部分。也就是说,仅凭前缀,数据包就能从发送方一直发送到 MIT 网络。
简单提醒一下:前缀和 IP 地址其余部分之间的分界点不一定在中间,甚至不一定在 8 位组边界,但在这次演示中,为了简化起见,所有示例都将分界点放在中间,因此前缀是前两个 8 位组。
我们可以看到,我们不是用名称来为 IP 数据包寻址,而是要使用编号,也就是 IP 地址。因此,我们不会使用“Apple Web 服务器”这样的名称,而是使用 17.253.207.54。我们也不会使用“Bobby 的笔记本电脑”,而是使用 73.227.130.85。
我们还可以看到路由表的工作原理。路由表只要将前缀映射到链路,路由器即可根据与目标 IP 地址匹配的前缀,在相应的链路上发送数据包。在本例中,目标 IP 地址是 17.253.207.54,与表中第二行的前缀 17.253 相匹配,因此数据包将通过链路 C 发送。
重点在于,路由表不必列出每一个可能的主机名,甚至不必列出每一个可能的 IP 地址,只需要列出每一个可能的前缀即可。记住,这就好比按邮编寄送信件,而不必考虑每一个可能的街道地址。
互联网是一个由路由器和输送通道组成的复杂系统,连接着数十亿个终端。寻址系统决定了通过这些输送通道的流量如何到达正确的目的地。互联网协议地址或 IP 地址就是一串数字,用作唯一标识符。互联网上的每台设备都会分配到一个唯一 IP 地址;就像现实生活中用于将信件发给收件人的地址和邮编一样,IP 地址会将 IP 数据包路由到正确的目的地。互联网服务提供商 (ISP) 会为设备分配一个 IP 地址。该系统的成功对于确保互联网的可靠性至关重要。
IP 地址简史
互联网上使用的互联网协议 (IP) 有两种:IPv4 和 IPv6。后者是最新版本,截至 2023 年 7 月,有 21.6% 的网站使用 IPv6 地址。IPv4 的 IP 地址空间有限,最多只能容纳 43 亿个 IP 地址,但最新版本 IPv6 的扩展能力更强,可容纳数万亿个 IP 地址。这种扩展对于扩大规模和容纳接入互联网的新型设备至关重要。每种类型的网络设备都会获得一个 IP 地址。因此,IP 地址是互联网构造模块的固有组成部分。IP 地址对于互联设备之间准确高效的数据传输至关重要。
IP 地址由互联网号码分配局 (IANA) 分配。IP 地址的整个范围是 0.0.0.0 至 255.255.255.255。
IP 地址、IP 数据包和 HTTP 有怎样的关联?
超文本传输协议 (HTTP) 是一种应用程序级别的协议,使用“请求-响应”流在互联网上传输数据;HTTP 属于 TCP/IP 系列标准。IP 数据包使用 HTTP 流传输数据,以执行显示网页等任务。基于 TCP/IP 协议的每个服务器或客户端都会获得一个 IP 地址。该 IP 地址包含在 IP 数据包中。
什么是 IP 地址?它是如何工作的?
IP 数据包中包含源和目标的 IP 地址。IP 地址由 32 位(二进制)数字组成,通常使用点号表示法,例如 73.227.130.85。点之间的数字称为 8 位组(因为在转成二进制后,其长度是 8 位)。我们用一个现实世界的类比来形象地理解 IP 地址的工作原理,设想信封里的一封信。例如,想象有一封信,收件人是“加州贝弗利山罗克斯伯里大道 1000 号 Lucille Ball,邮编 90210”。在发件人所在地点的邮局发出这封信时,他们只需要关注邮编 90210,不必考虑完整的地址。这样,信件就能迅速从发件人手中送到邮编 90210 对应的邮局。到达当地邮局后,邮局会根据街道地址和门牌号将信件寄送给正确的收件人 Lucille Ball。
IP 地址的工作原理与此类似。每个地址可以分成左侧和右侧两大部分。左侧类似于邮编。例如,IP 地址 128.30.*.* 和 128.31.*.* 都属于 麻省理工学院 (MIT)。就像邮局使用邮编来一样,路由器使用被称为前缀或 CIDR(无类别类域间路由)的左侧部分指引流量传送到本地路由器。在到达本地路由器后,系统使用完整的 IP 地址,参照 IP 地址的右侧部分转到网络上的特定设备,如笔记本电脑或手机。
什么是 IP 路由?
IP 路由用于将数据包从一个网络上的主机传输到另一个网络上的主机。路由器通常会执行此过程:路由器将多条输送通道连接起来,并制定路由选择决策。路由器检查数据包的目标 IP 地址,然后决定发送数据包的下一跳。输送通道是连接路由器和主机(终端)的物理链路。在 IP 数据包送达路由器时,路由器必须确定通过哪个链路(输送通道)将其发送出去。这项任务由路由器路由表完成。
什么是路由表?
路由器使用路由表来决定转发数据包的最优下一跳地址。
路由表不需要列出每一个可能的主机名或 IP 地址,只需要列出每一个可能的前缀。换句话说,路由表使用的是与邮编等效的机制,即 IP 地址前缀。路由表对路由器的指示类似于酒店楼层多个房间走廊交叉点的指示牌。路由器就相当于众多走廊的交叉点;路由表则是交叉点处的指示牌,上面写着右侧是 201-220 号房间,左侧是 221-240 号房间。如果您要去 211 号房间,就应该右转。总之,路由表只要将前缀映射到链路,路由器即可根据与目标 IP 地址匹配的前缀,在相应的链路上发送数据包。
Akamai、IP 地址与网络攻击
基于云的网络攻击无处不在。Akamai 致力于杜绝黑客和网络犯罪分子利用互联网发动的网络攻击。针对 Web 服务器的分布式拒绝服务 (DDoS) 攻击可能会造成 IP 数据包丢失。我们的专用基础架构提供 DDoS 防范功能,可在云端阻止 DDoS 攻击,避免其侵扰应用程序、数据中心和面向互联网的(公有或私有)基础架构。Akamai 拥有独特的架构,可将 DNS 资源划分到彼此不重叠的多个专用云环境之中。超过 225 名一线 SOCC 响应人员是 Akamai 的有力后盾;我们的全托管式解决方案可过滤攻击流量、拦截各种重大攻击,让您的防御人员可以腾出时间专注于高优先级的安全计划。Akamai 为现代企业提供保护,抵御云和分散式团队造成的漏洞。
Akamai 与网络安全
Akamai 对 IP、HTTP、HTTPS 等协议的工作原理有着深刻理解,并藉此在网络安全领域树立了自身的威信。除了安全解决方案之外,Akamai 还通过 云计算解决方案套件优化云计算、提供安全防护、可扩展性和监测能力,并且不受云服务提供商的束缚。我们的云计算产品套件包括 Download Delivery 产品线,能够优化全球范围内的每一次大型 HTTP 文件下载。
常见问题
IP 地址有四种类型:公有、私有、静态和动态。
前缀和 IP 地址其余部分之间的分界点不一定在中间,甚至不一定在 8 位组边界。
动态主机配置协议 (DHCP) 是一种客户端/服务器协议,它为互联网协议 (IP) 主机分配 IP 地址。
域名系统 (DNS) 网络将 IP 地址映射到域名,如 apple.com
Why customers choose Akamai
Akamai is the cybersecurity and cloud computing company that powers and protects business online. Our market-leading security solutions, superior threat intelligence, and global operations team provide defense in depth to safeguard enterprise data and applications everywhere. Akamai’s full-stack cloud computing solutions deliver performance and affordability on the world’s most distributed platform. Global enterprises trust Akamai to provide the industry-leading reliability, scale, and expertise they need to grow their business with confidence.